「これから悪意ある活動を開始するサイト」の情報も提供
定期的な情報提供で情報漏えいを未然に防止、EMCジャパン
2012/06/12
EMCジャパンは6月12日、マルウェアに感染したコンピュータの通信先やマルウェア感染サイトの情報を提供し、企業が速やかに対策を取れるよう支援する情報提供サービス「RSA CyberCrime Intelligence」を発表した。価格は年額456万円で、7月2日から提供を開始する。
同社は長年、RSA Anti-Fraud Command Center(AFCC)を介して、フィッシング詐欺や金銭詐取を試みるオンライン上の不正行為を監視してきた。また、フィッシングサイトを発見すると、ISPなどと連携して強制的にシャットダウンする「RSA FraudAction」というサービスも提供している。
これに対しRSA CyberCrime Intelligenceは、AFCCが蓄積する「インテリジェンス」を定期的に提供することで、マルウェアに感染したPCの特定を支援し、情報流出のリスクを早期に押さえ込むことを狙ったサービスだ。マルウェアを仕込んだ悪意あるサーバや犯罪者が利用するコマンド&コントロール(C&C)サーバ、盗まれた情報が蓄積されるドロップサイトなどの情報を定期的に提供し、企業が効率的に対処できるようにする。
米EMC セキュリティ部門 RSA CTO サム・カリー氏提供する情報は2種類ある。1つは、悪意あるサイトやC&CサイトのドメインおよびIPアドレス情報をXML形式で提供する「日次モニタリングレポート」だ。現在活動中のサイト情報だけでなく、リバースエンジニアリングによって得られた情報を基に、今後24時間以内に活動を開始すると思われるサイトの情報も提供する。このレポートの情報をファイアウォールやプロキシサーバと連携させれば、危険なサイトとの通信をブロックし、重要な情報の流出を未然に防ぐ仕組みを構築できる。
もう1つは、企業ネットワーク側から不正なサイトやドロップサイトへの通信履歴をまとめた「週次モニタリングレポート」だ。どのIPアドレスから、どの時間に、不正なサイトへの通信や情報のアップロードが行われたかをまとめ、XML形式で提供する。これと統合ログ監視ツールの情報を付き合わせれば、マルウェアやボットに感染したPCを迅速に見つけ出し、対処することができる。
米EMC セキュリティ部門 RSAのCTO、サム・カリー氏は、「シグネチャに基づく対策は、木の葉一枚一枚にそれぞれ対処するようなもの。これに対しRSA CyberCrime Intelligenceは、木の幹を見て対処する」と説明し、犯罪者の兵站ラインを大本から絶とうとする試みだと述べた。
「シグネチャに基づく従来型のアプローチでは、マルウェアが発見されてから対策されるまで1日から2週間という時間がかかっており、それが犯罪者側の余裕につながっていた。これに対しRSA CyberCrime Intelligenceでは、発見から数時間、あるいはインシデントが起こる前に止めることができる。つまり、より効率的に対策が取れる」(カリー氏)。
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
